【Splunk】指定したフィールドを持つイベント数をカウントする
指定したフィールド名を持つイベントの数をカウントする検索コマンドを紹介します。統計情報を取得する stats を使用します。
次のコマンドは app.evtx (Windows イベントログを抽出したファイル)でEventCodeフィールドを保有するイベント数をカウントしています。
source="app.evtx" |stats count(EventCode)
SPLUNK Siem のよくある質問�
個人的に独自に調査した事項をまとめています。各ベンダーとは全く関係がありません。
内容に誤りがある場合や情報が古くなっている場合があります。その場合でも修正されるとは限りません。
参考としてサイト閲覧ください。万が一誤りがあり損失等が発生しても保証しません。あくまでも自己責任でサイトを閲覧ください。